प्लेटफ़ॉर्म
wordpress
घटक
worker
में ठीक किया गया
4.9.32
ManageWP Worker वर्डप्रेस प्लगइन में क्रॉस-साइट स्क्रिप्टिंग (XSS) भेद्यता पाई गई है। यह भेद्यता हमलावरों को असुरक्षित इनपुट सैनिटाइजेशन के कारण मनमाना वेब स्क्रिप्ट इंजेक्ट करने की अनुमति देती है, जो तब निष्पादित हो सकती है जब कोई उपयोगकर्ता इंजेक्टेड पेज को एक्सेस करता है। यह भेद्यता ManageWP Worker के संस्करण 4.9.31 और उससे पहले के संस्करणों को प्रभावित करती है। संस्करण 4.9.32 में इस समस्या का समाधान किया गया है।
यह XSS भेद्यता हमलावरों को उपयोगकर्ता के ब्राउज़र में दुर्भावनापूर्ण स्क्रिप्ट इंजेक्ट करने की अनुमति देती है। इन स्क्रिप्ट का उपयोग उपयोगकर्ता के सत्र कुकीज़ को चुराने, उपयोगकर्ता को दुर्भावनापूर्ण वेबसाइटों पर रीडायरेक्ट करने या उपयोगकर्ता के खाते पर नियंत्रण करने के लिए किया जा सकता है। हमलावर संवेदनशील जानकारी तक पहुंच प्राप्त कर सकते हैं, जैसे कि उपयोगकर्ता नाम, पासवर्ड और क्रेडिट कार्ड विवरण। इस भेद्यता का उपयोग वेबसाइट की प्रतिष्ठा को नुकसान पहुंचाने या उपयोगकर्ताओं को वित्तीय नुकसान पहुंचाने के लिए भी किया जा सकता है। चूंकि यह एक संग्रहीत XSS भेद्यता है, इसलिए स्क्रिप्ट तब तक सक्रिय रहेगी जब तक कि उसे हटा नहीं दिया जाता है या प्लगइन को अपडेट नहीं किया जाता है।
यह भेद्यता सार्वजनिक रूप से ज्ञात है और इसका शोषण किया जा सकता है। अभी तक सक्रिय शोषण अभियान की कोई रिपोर्ट नहीं है, लेकिन यह संभावना है कि हमलावर इस भेद्यता का फायदा उठाने की कोशिश करेंगे। इस CVE को CISA KEV में शामिल किया गया है, जो इसकी गंभीरता को दर्शाता है। सार्वजनिक रूप से उपलब्ध प्रूफ-ऑफ-कॉन्सेप्ट (POC) मौजूद हो सकते हैं, जिससे इसका शोषण और आसान हो जाता है।
WordPress websites utilizing the ManageWP Worker plugin, particularly those running versions 4.9.31 or earlier, are at risk. Shared hosting environments where plugin updates are managed centrally are also at increased risk, as they may be slower to apply security patches. Sites heavily reliant on user-generated content within the ManageWP Worker plugin are also more vulnerable.
• wordpress / composer / npm:
grep -r "<script>" /var/www/html/wp-content/plugins/managewp-worker/• wordpress / composer / npm:
wp plugin list --status=active | grep managewp-worker• wordpress / composer / npm:
wp plugin update managewp-worker --alldisclosure
patch
एक्सप्लॉइट स्थिति
CVSS वेक्टर
इस भेद्यता को कम करने के लिए, ManageWP Worker प्लगइन को संस्करण 4.9.32 या बाद के संस्करण में तुरंत अपडेट करें। यदि अपडेट करना संभव नहीं है, तो एक वेब एप्लिकेशन फ़ायरवॉल (WAF) का उपयोग करके XSS हमलों को ब्लॉक करने का प्रयास करें। WAF को उन अनुरोधों को ब्लॉक करने के लिए कॉन्फ़िगर किया जा सकता है जिनमें दुर्भावनापूर्ण स्क्रिप्ट शामिल हैं। इसके अतिरिक्त, प्लगइन के इनपुट फ़ील्ड को ठीक से सैनिटाइज और आउटपुट को एस्केप करने के लिए प्लगइन कोड की समीक्षा करें। प्लगइन को अपडेट करने के बाद, यह सुनिश्चित करने के लिए कि भेद्यता ठीक हो गई है, प्लगइन के सभी पृष्ठों का परीक्षण करें।
संस्करण 4.9.32 में अपडेट करें, या एक नया पैच किया गया संस्करण
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2026-39463 ManageWP Worker वर्डप्रेस प्लगइन में एक क्रॉस-साइट स्क्रिप्टिंग (XSS) भेद्यता है जो हमलावरों को दुर्भावनापूर्ण स्क्रिप्ट इंजेक्ट करने की अनुमति देती है।
यदि आप ManageWP Worker प्लगइन के संस्करण 4.9.31 या उससे पहले का उपयोग कर रहे हैं, तो आप प्रभावित हैं।
ManageWP Worker प्लगइन को संस्करण 4.9.32 या बाद के संस्करण में अपडेट करें।
अभी तक सक्रिय शोषण अभियान की कोई रिपोर्ट नहीं है, लेकिन यह संभावना है कि हमलावर इसका फायदा उठाने की कोशिश करेंगे।
ManageWP Worker एडवाइजरी के लिए आधिकारिक वेबसाइट देखें।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।